受動的攻撃について Eiji James Yoshida [[email protected]] penetration technique research site Written: June 29, 2003 受動的攻撃について 本セッションの内容 • 受動的攻撃とは何か • 受動的攻撃が齎す脅威 • 受動的攻撃の事例 • 受動的攻撃が齎す更なる脅威 • 受動的攻撃を防ぐには 2003/06/29 (c) 2003 Eiji James Yoshida. 2 受動的攻撃とは何か 受動的攻撃とは何か • 受動的攻撃とは、ユーザからの要求に 対して悪意のある情報を送り込む攻撃 である。 能動的攻撃(従来の攻撃) 攻撃側が起点となる攻撃 受動的攻撃 攻撃対象が起点となる攻撃 2003/06/29 (c) 2003 Eiji James Yoshida. 4 能動的攻撃(従来の攻撃) 被害発生! ①悪意のある情報を送信 ←起点 攻撃側 2003/06/29 攻撃対象 (c) 2003 Eiji James Yoshida. 5 受動的攻撃 被害発生! ①何らかの要求を送 信 ②悪意のある情報を返 信 起点→ 攻撃側 2003/06/29 攻撃対象 (c) 2003 Eiji James Yoshida. 6 能動的攻撃と受動的攻撃 ①悪意のある情報を送信 攻撃側 能動的攻撃 攻撃対象 ①何らかの要求を送 信 ②悪意のある情報を返 信 攻撃側 2003/06/29 受動的攻撃 (c) 2003 Eiji James Yoshida. 攻撃対象 7 受動的攻撃が齎す脅威 受動的攻撃が齎す脅威 • Webページを表示しただけで被害発生 • HTMLメールを表示しただけで被害発生 ブラウザやメーラの脆弱性を利用 「MS01-020 不適切なMIMEヘッダーが原因で Internet Explorerが電子メールの添付ファイル を実行する」 2003/06/29 (c) 2003 Eiji James Yoshida. 9 受動的攻撃の事例 受動的攻撃の事例 • プライスロト事件(2001年8月) 利用する脆弱性:MS00-075 被害内容:クライアントを操作不能にする。 感染経路:Webページ • Nimdaワーム(2001年9月) 利用する脆弱性:MS00-078,MS01-020,MS01-026 被害内容:サーバやクライアントに感染し蔓延する。 感染経路:Webページ、HTMLメール、ファイル共有など 2003/06/29 (c) 2003 Eiji James Yoshida. 11 受動的攻撃の事例 • Klezウィルス(2001年10月) 利用する脆弱性:MS01-020 被害内容:ファイルの破壊や情報漏洩を行う。 感染経路:HTMLメール • Backdoor.Netdex(2002年10月) 利用する脆弱性:MS00-075 被害内容:バックドアを設置する。 感染経路:Webページ 2003/06/29 (c) 2003 Eiji James Yoshida. 12 受動的攻撃の事例 • Lirvaワーム(2003年1月) 利用する脆弱性:MS01-020 被害内容:情報漏洩やバックドアを設置する。 感染経路:HTMLメール、ファイル共有 2003/06/29 (c) 2003 Eiji James Yoshida. 13 受動的攻撃の事例 • 事例からMS00-075やMS01-020、特に MS01-020が受動的攻撃に利用されてい ることが多い。 MS01-020が利用されやすい理由 ①攻撃対象を起点とした攻撃に利用可能 ②任意のファイルを送信して実行させることが可能 ③脆弱性をメール経由で利用可能 2003/06/29 (c) 2003 Eiji James Yoshida. 14 受動的攻撃が齎す更なる脅威 受動的攻撃が齎す更なる脅威 • 受動的攻撃は多くのワームやウィルス の増殖活動に利用されている。 受動的攻撃のもたらす脅威はワームや ウィルスの蔓延 受動的攻撃が齎す脅威は これだけではない!!! 2003/06/29 (c) 2003 Eiji James Yoshida. 16 受動的攻撃が齎す更なる脅威 • 受動的攻撃は攻撃対象が起点となる攻 撃であることから、ファイアウォール 等に登載されているパケットフィルタ リングを回避できる可能性がある。 ファイアウォールで保護された環境に 侵入される危険性がある!!! 2003/06/29 (c) 2003 Eiji James Yoshida. 17 受動的攻撃が齎す更なる脅威 インター ネット 社内 ネット ファイアウォールが 情報を遮断!!! 情報を送信 悪意のある Webサーバ 社内サーバ ファイアウォール 社内ユーザ 2003/06/29 (c) 2003 Eiji James Yoshida. 18 受動的攻撃が齎す更なる脅威 インター ネット 社内 ネット ファイアウォールが 情報を遮断!!! ページ返信 社内サーバ ページ送信要求 Webサーバ ファイアウォール Webがみれないぞ! 社内ユーザ 2003/06/29 (c) 2003 Eiji James Yoshida. 19 受動的攻撃が齎す更なる脅威 インター ネット 社内 ネット ページ返信 社内サーバ ページ送信要求 Webサーバ ファイアウォール Webが表示された 社内ユーザ 2003/06/29 (c) 2003 Eiji James Yoshida. 20 受動的攻撃が齎す更なる脅威 インター ネット 社内 ネット 悪意のあるページ返信(バックドア付き) 社内サーバ ページ送信要求 悪意のある Webサーバ (侵入者) 2003/06/29 ファイアウォール バックドア設置 社内ユーザ (c) 2003 Eiji James Yoshida. 21 受動的攻撃が齎す更なる脅威 インター ネット 社内 ネット 社内サーバを攻撃するコマンドを返信 情報漏洩・改竄等 社内サーバ コマンド要求 悪意のある Webサーバ (侵入者) 2003/06/29 ファイアウォール 社内サーバ攻撃! バックドア起動 社内ユーザ (c) 2003 Eiji James Yoshida. 22 受動的攻撃が齎す更なる脅威 • 受動的攻撃と侵入技術を組み合わされ ると、セキュリティ製品(ファイア ウォール等)を回避される可能性があ る。 • 社内にある一般ユーザのパソコンを踏 み台にして、社内の重要なサーバに侵 入される可能性がある。 2003/06/29 (c) 2003 Eiji James Yoshida. 23 受動的攻撃を防ぐには 受動的攻撃を防ぐには 1. 脆弱性の多いInternet Explorerを使わずに別のブラ ウザを使う。 2. Administratorなどの管理者ユーザでWebページを閲 覧しない。 3. ブラウザのセキュリティ設定を使い各種機能を厳し く制限する。 4. 侵入検知システムを導入する。 5. ウィルス検知ソフトをインストールする。 6. プロキシ経由でしか外部との通信を許可しない。 7. 修正パッチを適用する。 そして最も重要なことは… 2003/06/29 (c) 2003 Eiji James Yoshida. 25 受動的攻撃を防ぐには • 受動的攻撃の攻撃対象はWebサーバな どの外部に公開されているサーバでは なく、社内にある一般ユーザが使うク ライアントである。 サーバ管理者やネットワーク管理者だ けではなく、一般ユーザも受動的攻撃 に注意する必要がある。 2003/06/29 (c) 2003 Eiji James Yoshida. 26 参考資料 • 受動的攻撃について http://www.geocities.co.jp/SiliconValley/1667/passiv eattack.pdf • 受動的攻撃検証サイト http://zaddik.hp.infoseek.co.jp/index.html • 日経ネットワークセキュリティ2003 ISBN4-8222-0941-5 • 受動的攻撃に対する防御方法 http://www.port139.co.jp/ntsec_passiveattack.htm 2003/06/29 (c) 2003 Eiji James Yoshida. 27
© Copyright 2024 ExpyDoc
